デスクトップ音声キャプチャ方式は違法ですか？

録音行為自体は日本の法律で直ちに違法とはなりません。ただし個人情報保護法における利用目的の通知義務への対応が難しく、相手に録音を知らせる仕組みがツール側にないため、運用でカバーする必要があります。エンタープライズ利用ではコンプライアンス上のリスクが高い方式です。

ボット参加型は相手がホストでなくても録画できますか？

自社開発ボットがWeb会議のAPIを通じて会議に参加する方式であれば、ホスト権限に関わらず録画が可能です。カレンダー連携で自動参加、またはURL入力でボットを招待する形で利用できます。

商談録画で個人情報保護法に違反しないためには？

参加者への事前通知と利用目的の公表が必要です。Web会議プラットフォームの録画通知が自動表示されるツールを選ぶのが最も確実な方法です。加えて、社内規定で録画開始時の口頭確認を運用ルール化することを推奨します。

商談録画の5つの方式とセキュリティリスク｜情シスが確認すべき選定基準

この記事の要点

商談録画の方式は大きく5つに分類でき、方式によって「相手への通知の有無」「データの経路」「同意取得の仕組み」が異なります。特にデスクトップ音声キャプチャ型は相手に録画が一切通知されず、コンプライアンスリスクが高い方式です。情シスと営業企画が連携して録画方式を評価し、透明性の高いツールを選定することが重要です。

ポイント

録画方式は5種類あり、方式によってセキュリティリスクが大きく異なる
ボット参加+API連携のハイブリッド型は二重の透明性・ホスト非依存・法的クリアの3点で堅牢
情シスはデータ経路・通知有無・セキュリティ認証・パートナー認定の4軸で評価すべき

AI議事録ツールやCI（会話インテリジェンス）ツールの普及により、商談録画は多くの企業で日常的に行われるようになりました。しかし「録画の許可を取っているか」という観点だけでなく、「どのような技術的方式で録画しているか」によってセキュリティリスクが大きく変わることは、あまり知られていません。

本記事では、商談録画の5つの方式を技術的な観点から整理し、それぞれのリスクと情シスが確認すべき選定基準を解説します。

商談録画が当たり前になった時代のリスク

営業DXの文脈で、商談の録画・文字起こし・AI分析を行うツールが急速に普及しています。営業企画やSalesOps部門がツール選定を主導するケースが多い一方で、情シス部門がセキュリティ審査を行う段階で初めて「録画の技術的な方式」が問題になるケースも増えています。

録画方式の違いは、以下の3点に直結します。

会議相手への通知の有無: 録画されていることが相手にわかるか
データの経路: 録画データがどのサーバーを経由するか
同意取得の仕組み: プラットフォーム側の同意メカニズムが機能するか

これらは「ツールの機能」ではなく「ツールのアーキテクチャ」の問題であり、機能比較表だけでは判断できません。

商談録画の5つの方式

1. ボット参加型 + プラットフォームAPI連携（ハイブリッド型）

自社開発のボットが会議に自動参加して録画を行いつつ、Web会議プラットフォームのAPIとも連携するハイブリッド方式です。ボット参加によるリアルタイム録画と、プラットフォームAPIを通じたデータ取得・制御の両方を組み合わせることで、単独方式では得られない柔軟性と信頼性を実現します。

データフロー: ボット → 自社サーバー（外部サービスを経由しない）。プラットフォームAPIとも連携しているため、録画データの取得経路が多重化されている
透明性: 最も高い。ボットが参加者リストに表示され、かつプラットフォームの録画通知も自動表示される（二重の通知メカニズム）
ホスト制限: なし。カレンダー連携による自動参加、またはURL入力でボットを招待する形で利用でき、相手がホストでも自社側がホストでも録画可能
データ主権: 録画データが外部の第三者サービスを経由せず、自社サーバーに直接保存される。導入企業がデータの保存先・保持期間・アクセス権限を自社のポリシーに基づいて管理できる
柔軟性: ボット参加とAPI連携の2つの経路を持つため、プラットフォームの仕様変更や一時的な障害にも対応しやすい。Zoom、Microsoft Teams、Google Meetの主要3プラットフォームに対し、それぞれの公式APIを通じた統合が可能

この方式の最大のメリットは、ボット参加による自律的な録画能力と、プラットフォームAPI連携による透明性・信頼性を兼ね備えている点です。ボット単体の方式（方式2）と異なりプラットフォーム側との正式なAPI統合があるため、録画通知メカニズムがそのまま機能します。また、プラットフォームAPI単体の方式（方式3）と異なりホスト権限に依存せず、リアルタイムでの録画・分析が可能です。さらに、録画データが自社サーバーに直接保存されるため、導入企業がデータ主権を維持したまま運用できます。外部サービス経由型（方式2）のように第三者にデータが渡る構造とは根本的に異なります。

aileadはこのハイブリッド方式を採用しており、Google Cloud ISVパートナーとしてGoogle Cloud Marketplaceにも掲載されています。CI（会話インテリジェンス）および録画ツールのカテゴリでGoogle Cloud Marketplaceに掲載されている国内唯一のサービスです。

2. ボット参加型（外部サービス経由）

Recall.ai等の第三者サービスを利用してボットを会議に参加させる方式です。ボット自体は参加者リストに表示されるため透明性はありますが、データの経路に注意が必要です。

データフロー: ボット → 外部サービスのサーバー（多くは米国） → ツールのサーバー
透明性: 中程度。ボット表示はあるが、データが外部サービスを経由する
注意点: 外部サービスの障害がそのまま自社の障害になる。データ保存先が海外になるケースがある

ボットが参加者として見えるため同意の面ではリスクが低いものの、録画データが海外の第三者サーバーを経由する構造には以下のリスクがあります。

データレジデンシー要件への抵触: 金融業界や官公庁では、録画データが日本国内に保存されることが要件になるケースがあります。外部サービスが米国やEUにサーバーを持つ場合、データがどの時点で国外に出るかの可視性が低下します。

米国CLOUD Actの適用リスク: 外部サービスが米国企業の場合、米国政府が令状なしにデータへのアクセスを要求できるCLOUD Act（2018年施行）の対象となります。日本企業の商談データが米国の法執行機関にアクセスされるリスクを情シスは評価する必要があります。

外部サービスのデータ利用ポリシー: 第三者サービスが録画データをAIモデルの学習に利用するケースが報告されています。実際に2025年、AI文字起こしサービスOtter.aiに対して「会議参加者の同意なく録音し、そのデータをAI学習に利用している」として連邦集団訴訟が提起されました（出典: NPR報道）。外部サービス経由で録画する場合、自社だけでなくそのサービスのデータ利用ポリシーも精査が必要です。

3. 録画データ事後取得型

Web会議ツールの録画機能を利用し、録画完了後にAPI経由でデータを取得する方式です。

データフロー: 会議プラットフォームの録画 → API経由でデータ取得 → ツールのサーバー
透明性: 中〜高。プラットフォームの録画通知は表示されるが、ホストが録画をONにする必要がある
注意点: リアルタイム分析ができず事後処理のみ。ホストが録画設定をONにしている前提

この方式はプラットフォーム側の録画通知が表示されるため同意の面では安心ですが、自社がホストでない会議では録画ができない制約があります。

4. デスクトップ音声キャプチャ型

PCアプリがOS/デバイスレベルで音声デバイスをキャプチャ（マイク + スピーカー/ヘッドセット）し、録音を行う方式です。Web会議プラットフォームのAPIを一切使用しません。

データフロー: ローカルPC → ツールのサーバー（Web会議プラットフォームを経由しない）
透明性: 極めて低い。相手に録音の事実が一切通知されない。プラットフォームの録画通知も表示されない
リスク: 後述の比較表で詳細を整理

この方式はWeb会議ツールのAPIを使わないため、原理的にどのWeb会議ツールでも動作します。一見すると対応範囲が広いメリットに見えますが、以下の構造的なリスクがあります。

会議相手が録音を認知する手段がない: プラットフォームの録画通知が表示されないため、相手は自分が録音されていることを知る手段がありません。

ステルス機能の存在: 一部のツールでは、画面共有中にツールのウィンドウを相手から見えないように非表示にする機能が公式に提供されています（出典: YOMEL公式サポートページ）。

プラットフォーム側の録画ポリシーが機能しない: Web会議プラットフォームが提供する録画通知や同意メカニズムは、API経由の録画に対して設計されています。デスクトップキャプチャ方式はこの仕組みを完全にバイパスします。

シャドーIT判定のリスク: IT部門の管理下にないPCアプリがOS全体の音声をキャプチャするため、エンタープライズITではシャドーITと判定されるリスクがあります。

なお、Microsoft Teamsは「画面キャプチャ防止」機能をTeams Premiumでリリースしており（出典: Microsoft公式ドキュメント）、プラットフォーム側も対策を進めています。

5. 音声アップロード型

録音データを後からアップロードし、文字起こしやAI分析を行う方式です。

データフロー: ユーザーの端末 → アップロード → ツールのサーバー
透明性: 低い。リアルタイム通知の仕組みがなく、録音自体は別の手段（ICレコーダー等）で行う
注意点: リアルタイム分析が不可能。録音手段がツール外のため管理が分散する

方式別リスク比較表

方式	相手への通知	ホスト制限	データ経路	データ主権	同意メカニズム
ボット参加 + API連携（ハイブリッド型）	あり（二重通知）	なし	自社サーバー直接	導入企業が保持	プラットフォーム組み込み
ボット参加型（外部サービス経由）	あり（ボット表示）	なし	外部サービス経由	第三者サービスに依存	プラットフォーム組み込み
録画データ事後取得型	あり（録画通知）	あり（ホスト限定）	プラットフォーム → API	プラットフォームに依存	プラットフォーム組み込み
デスクトップ音声キャプチャ型	なし	なし	ローカルPC → ツールサーバー	ツール提供元に依存	なし（運用に依存）
音声アップロード型	なし	なし	ユーザー端末 → ツールサーバー	ツール提供元に依存	なし（運用に依存）

※ 各社公式サイトおよび公開情報をもとにailead編集部が調査（2026年3月時点）。機能や仕様は変更される場合があります。最新情報は各社にお問い合わせください。

情シスが確認すべき5つのチェックリスト

商談録画ツールのセキュリティ審査では、機能一覧だけでなく以下の観点を確認することを推奨します。

1. 録画方式と参加者への通知の有無

録画方式が「ボット参加型」「デスクトップキャプチャ型」のどちらに該当するかを確認します。特に、Web会議プラットフォームの録画通知が自動表示されるかどうかは、コンプライアンスに直結する重要な判断基準です。

2. ホスト権限に関わらず録画できるか

自社がホストでない会議（顧客主催のWeb会議など）でも録画できるかを確認します。ホスト権限に依存する方式では、営業活動の多くのシーンで録画ができないケースが発生します。

3. データの保存先・データフロー・データ主権

録画データがどのリージョンのサーバーに保存されるかを確認します。外部サービスを経由する場合は、そのサービスのデータ保存先も含めた確認が必要です。金融業界や官公庁では、日本国内のデータ完結が要件になるケースがあります。加えて「データ主権」の観点も重要です。導入企業がデータの保存先・保持期間・削除タイミング・アクセス権限を自社ポリシーに基づいてコントロールできるか、それとも第三者サービスのポリシーに従わざるを得ないかを確認します。

4. プラットフォームパートナー認定の有無

Google Cloud ISVパートナーやZoom App Marketplace掲載など、Web会議プラットフォーム提供元からのパートナー認定を受けているかを確認します。パートナー認定はAPI連携の品質と信頼性の一つの指標になります。

5. セキュリティ認証（ISO 27001等のISMS認証）

ISMS認証（ISO/IEC 27001）の取得状況を確認します。取得している場合は版（2013年版か2022年版か）も含めて確認することで、情報セキュリティ管理体制の新しさを判断できます。

法的観点: 個人情報保護法とGDPRへの対応

日本の個人情報保護法

商談の録音データは、音声から個人を特定できる場合、個人情報に該当します。個人情報保護法では利用目的の通知または公表が義務づけられています（出典: 個人情報保護委員会FAQ）。

「録音していること」自体を伝える法的義務はありませんが、利用目的の公表が必要である以上、録画の事実を参加者に知らせることが実務上の安全策です。

ボット参加型の方式では、Web会議プラットフォームの録画通知が自動表示されるため、参加者への通知が仕組みとして担保されます。一方、デスクトップキャプチャ型では通知の仕組みがツール側にないため、組織の運用ルール（口頭確認やメール事前通知等）に依存せざるを得ません。

GDPR（EU一般データ保護規則）

海外拠点やグローバル企業との商談では、EU圏の参加者が含まれるケースがあります。GDPRのデータ最小化原則（第5条）のもとでは、無通知の録音に対する適法な根拠（同意または正当な利益）の立証が困難になります。

録画通知が自動表示される方式を選択することで、同意取得の明確性を高めることができます。

海外で相次ぐAI録画ツールの訴訟

2025年以降、AI会議録画ツールに対する訴訟が米国で急増しています。日本企業が直接の当事者になるケースはまだ少ないものの、海外ツールを利用している場合は訴訟リスクの波及に注意が必要です。

Otter.ai集団訴訟（2025年8月）: AI文字起こしサービスOtter.aiに対し、「会議参加者全員の同意なく録音を行い、そのデータをAI学習に利用している」として連邦集団訴訟が提起されました。原告は連邦電子通信プライバシー法（ECPA）やカリフォルニア州プライバシー侵害法（CIPA）の違反を主張しています（出典: NPR）。

Fireflies.AI訴訟（2025年12月）: AI会議アシスタントFireflies.AIに対し、声紋データの収集がイリノイ州生体情報プライバシー法（BIPA）に違反するとして集団訴訟が提起されました（出典: Epstein Becker Green）。

医療分野への波及（2025年）: 医療機関でのAI録音ツール利用に対しても集団訴訟が提起されており、業種を問わず「録音の同意取得」が法的争点になりつつあります（出典: Fisher Phillips）。

これらの訴訟に共通するのは、「ホストのみの同意では不十分」「参加者全員への通知と同意が必要」という論点です。ボット参加型でプラットフォームの録画通知が自動表示される方式であれば、参加者全員に録画の事実が伝わるため、このリスクを構造的に低減できます。

自社に最適な録画方式の選び方

エンタープライズ・規制業界の場合

金融、官公庁、医療など規制の厳しい業界では、ボット参加 + プラットフォームAPI連携のハイブリッド型 が最も適しています。ボット表示とプラットフォーム録画通知の二重の透明性、ホスト非依存、監査可能性の要件を満たし、データが外部サービスを経由しない構造は、厳格なセキュリティ審査にも対応できます。

中堅企業の場合

自社のセキュリティポリシーに照らして、透明性とコストのバランスで方式を選択します。最低限「相手への録画通知」が自動で行われるかどうかを基準にすることを推奨します。

汎用議事録用途の場合

社内会議の議事録など、外部参加者がいないケースでは方式による差異は小さくなります。ただし、外部の商談で同じツールを使用する可能性がある場合は、最初から透明性の高い方式を選んでおくことで運用の一貫性を保てます。

まとめ

商談録画ツールの選定では、「どのような機能があるか」だけでなく「どのような方式で録画するか」がセキュリティとコンプライアンスの観点で重要です。

録画方式は5種類あり、方式ごとに相手への通知有無、データ経路、同意メカニズムが異なる
ボット参加 + API連携のハイブリッド型 は、二重の透明性、ホスト非依存、法的クリアの3点で最も堅牢な方式
デスクトップ音声キャプチャ型 は相手に一切通知されないため、コンプライアンスリスクが高い
情シスと営業企画が連携し、録画方式を含めた多角的な評価を行うことが重要

aileadは自社開発ボットとプラットフォームAPI連携を組み合わせたボット参加型の方式を採用しています。Google Cloud ISVパートナー認定を受けた透明な録画方式により、400社以上の企業で安心して商談録画が活用されています。

商談録画ツールの選定でお悩みの方は、ぜひデモをご依頼ください。録画方式の詳細やセキュリティ体制について、貴社の要件に合わせてご説明いたします。

商談録画の5つの方式とセキュリティリスク | 情シスが確認すべき選定基準